双重安全
Duo安全设置要求
Duo默认情况下未启用AdminAPI。因此,您必须联系Duo代表以使AdminAPI能够利用此集成。
如果需要,可提供API文档在这里.
一旦它们被启用,您将需要加载Duo日志。要加载Duo日志,收集器需要能够连接到https://[customersubdomain].duosecurity.com
.
设置Duo Security Admin API集成
InsightOps支持在Duo Security中监视用户帐户和身份验证。此功能可通过使用Duo Security配置密钥来实现,Duo Security可提供对其数据的网络外访问。
执行以下步骤,让InsightOps收集器接收Duo Security的日志。
- 联系Duo Security客户支持,请求他们解锁管理API,以便InsightOps访问身份验证日志历史记录。
- 在Duo管理面板中创建管理API集成。
- 复制集成密钥、密钥和管理API集成的特定子域。
- 在InsightOps事件源设置页面的相应字段中输入凭据。
注意:Duo Security通过Admin API集成提供身份验证日志。此集成仅适用于Enterprise edition客户,并可根据要求启用。如果您是Enterprise edition客户,并且尚未请求管理API集成,请联系Duo Security support并请求。
要创建新的集成,请执行以下操作:
- 登录Duo Security管理面板。
- 单击左侧边栏中的集成。
- 单击+新建集成按钮。将显示一个屏幕,提示您选择集成类型。
- 从集成类型下拉列表中选择管理API。
- 在集成名称字段中输入集成的名称。此名称不用于InsightOps,可以是您喜欢的任何名称。
- 单击创建集成按钮。
- 向下滚动至“权限”,然后选中“授予读取日志”旁边的复选框,以便向API应用程序授予权限。然后保存更改。将显示集成属性页面。
- 在集成密钥字段中输入集成密钥。
- 在密钥字段中输入Duo Security提供的密钥。
- 在API主机名字段中输入API主机名。
如何配置此事件源
将此信息输入InsightOps事件源设置,以便事件源通过身份验证返回Duo Security。创建令牌后,需要在InsightOps中编辑Duo Security事件源。执行以下步骤。
- 从仪表板中,选择左侧菜单上的数据采集
- 在页面右上角,选择添加数据
- 从安全数据部分选择云服务图标
- 选择收集器,并可以选择命名事件源
- 从事件源选项列表中,选择Duo Security
- 选择时区,或选择仅显示美国时区
- (可选)选择发送未筛选的日志
- 在集成密钥字段中输入集成密钥。
- 选择现有凭据或创建新凭据。
- 在“密钥”字段中输入密钥。
- 在Duo subdomain字段中输入Duo subdomain,格式为
api-xxxxxxxx
.- 例如,如果你有
api-12ab3456.yourdomain.com
你会用api-12ab3456
作为子域。
- 例如,如果你有
- 以分钟为单位输入刷新率。
- 配置任何高级设置。
- 单击保存。
高级事件源设置
回退域:如果您有在多域环境中运行的事件源,Rapid7建议使用回退域来解决用户帐户的任何问题。
例如,如果您的公司位于美国和加拿大,但这两个地区都有一个名为“John Smith”的用户,并且您的主域是公司网站
,您的回退域可能是美国公司
,这将允许InsightOps更准确地将数据归因于正确的用户。
故障排除
使用Windows收集器时,在使用强化密码套件时,您可能会遇到连接到Duo的问题。Duo建议应用Microsoft修补程序来修复TLS1.1或TLS1.2的问题。可以找到更多信息在这里.
Duo Security与多种设备和应用程序集成。点击在这里了解更多信息。